Uma ameaça emergente está utilizando a API do Microsoft Graph para facilitar comunicações de comando e controle (C&C) por meio de serviços de nuvem da Microsoft. Recentemente, analistas de segurança da Symantec descobriram um malware anteriormente não documentado chamado BirdyClient ou OneDriveBirdyClient.

Este malware, que teve como alvo uma organização na Ucrânia, abusou do Microsoft OneDrive para C&C, conectando-se à Graph API para fazer upload e download de arquivos. Embora se mascare como software legítimo, a funcionalidade principal do malware revela uma técnica em evolução que utiliza serviços de nuvem confiáveis para propósitos maliciosos por atores de ameaças de motivação e atribuição desconhecidas.

Comunicações de comando e controle estão se tornando cada vez mais comuns entre os atacantes que aproveitam a API do Microsoft Graph, construída para integrar serviços de nuvem da Microsoft.

O acesso à Graph API para serviços como o OneDrive é utilizado por famílias de malware como BirdyClient, Bluelight, Backdoor.Graphon e Graphite para fins de C&C. Esta nova abordagem ajuda os atores de ameaças a esconderem suas comunicações maliciosas no tráfego legítimo da nuvem, tornando a detecção mais difícil. Ameaças persistentes avançadas que abusam de canais de C&C desconhecidos, criados ao reutilizar capacidades de integração em nuvem, levantam preocupações sobre o uso indevido de serviços confiáveis.

A API do Microsoft Graph tornou-se cada vez mais popular para abuso de C&C entre vários grupos de ameaças. Para evitar a detecção, os atores de ameaças começaram a usar a API do Microsoft Graph como uma plataforma para seus servidores de comando e controle. Isso é feito para que suas comunicações maliciosas pareçam atividades normais na nuvem, ao mesmo tempo em que lhes proporciona hospedagem gratuita e segura usando contas de nuvem comuns.